Högskoleexamen. Nätverksprojekt Säkerhet i ett större nätverk. Sektionen för informationsvetenskap, data- och elektroteknik

Relevanta dokument
Switch- och WAN- teknik. F7: ACL och Teleworker Services

LABORATIONSRAPPORT Säkerhet och Sårbarhet Laboration 1 Brandväggar

TCS Threaded Case Study

Att bygga VPN. Agenda. Kenneth Löfstrand, IP-Solutions AB. Olika VPN scenarios. IPsec LAN - LAN. IPsec host - host SSH

DIG IN TO Administration av nätverk- och serverutrustning

CCNP Switchbibeln. Oskar Löwendahl 2/26/2014 1

Att sätta upp en IPsec-förbindelse med mobil klient. Lisa Hallingström Paul Donald

Din guide till IP RFID. Intertex Nu ännu starkare säkerhet för SIP. Snom - marknadens säkraste IP-telefon. Ur innehållet TALK TELECOM

Säkerhet genom simpel nätverksutrustning. Högskoleingenjörsexamensarbete Fredrik Folke

EXAMENSARBETE. Implementering av dot1x i Cisco-miljö. Claes Lind Högskoleexamen Datornätverk

Krypteringteknologier. Sidorna ( ) i boken

Utförande: I exemplet så kommer vi att utgå från att man gör laborationen i en Virtuell miljö (Virtualbox).

Grundläggande rou-ngteknik. F2: Kapitel 2 och 3

Att sätta upp trådlöst med Cisco Controller 2100 series och Cisco AP 1200 series

3) Routern kontrollerar nu om destinationen återfinns i Routingtabellen av för att se om det finns en väg (route) till denna remote ost.

Din manual NOKIA C111

LABORATIONSRAPPORT Säkerhet & Sårbarhet VPN

Säkerhet. Säker kommunikation - Nivå. Secure . Alice wants to send secret message, m, to Bob.

3. Steg för steg. Kör IPv6 på riktigt med FortiGate! Principen är enkel:

============================================================================

F5 Exchange Elektronikcentrum i Svängsta Utbildning AB

DIG IN TO Administration av nätverk- och serverutrustning

Westermo MRD-3x0 Routrar och TheGreenBow VPN Client

Att sätta upp en IPsec-förbindelse mellan två Ingate-brandväggar/SIParatorer (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid

5 Internet, TCP/IP och Tillämpningar

God nätverksdesign och distribuerade brandväggar. Patrik Fältström

Gesäll provet Internetprogrammering I. Författare: Henrik Fridström. Personnummer: Skola: DSV

5. Internet, TCP/IP och Applikationer

Övningar - Datorkommunikation

TCS Threaded Case Study Projekt dokumentation Grupp 2

Åtkomst och användarhandledning

Förebyggande Råd från Sveriges IT-incidentcentrum

Hjälpprotokoll till IP

Säker IP telefoni? Hakan Nohre, CISSP

EXTREME NETWORKS IP SÄKERHET. i EXOS relaterat SSnFs SKA krav

Introduktion Lync-/SfB-Infrastruktur Cellips infrastruktur Brandväggskrav Lync/SfB Server PSTN Gateway...

Ver Guide. Nätverk

Grundläggande nätverksteknik. F3: Kapitel 4 och 5

Föreläsning 3. Datorkunskap 50p Marcus Weiderstål Bromma Gymnasium

Inloggning på trådlöst nätverk för biblioteksanvändare och gäster vid Umeå Stadsbibliotek

ETSF Routingprojektet WILLIAM TÄRNEBERG

Att sätta upp en IPsec-förbindelse med mobil klient (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid

Säkra trådlösa nät - praktiska råd och erfarenheter

SKA v6. Godkänd: Rev: April. SKA v6 1(19)

Installation av. Vitec Online

Grundläggande säkerhet för PC, mobil och läsplatta. Joakim von Braun Säkerhetsrådgivare von Braun Security Consultants Senior Net Danderyd

Freeway WEB bussadapter. Installations- och bruksanvisning

Topologi. Utförande: I exemplet så kommer vi att utgå från att man gör laborationen i en Virtuell miljö (Virtualbox).

Önskemål kring Studentstadens bredband och UpUnet-S

SÄKRA DIN VERKSAMHET OAVSETT VAR DEN TAR DIG. Protection Service for Business

Kapitel 10 , 11 o 12: Nätdrift, Säkerhet

IT för personligt arbete F2

ETSF Routingprojektet JENS ANDERSSON

Svar till SSNf angående projekt SKA 3.1, Säker Kund Anslutning. 12 Mars 2008 Version 3.0

uran: Requesting X11 forwarding with authentication uran: Server refused our rhosts authentication or host

Säkerhet Användarhandbok

Grundläggande rou-ngteknik

BiPAC 7402R2. ADSL2+ VPN Firewall Router. Snabbstartsguide

5. Internet, TCP/IP tillämpningar och säkerhet

Rapport för Högskoleexamen, Mars 2013 Datorkommunikation. Sektionen för informationsvetenskap, data- och elektroteknik

DIG IN TO Nätverkssäkerhet

HP ProCurve SKA 3.1 Certifiering

Tentamen CDT102 Datakommunikation i nätverk I 7,5hp

Edgecore SKA 3.1 certifiering

ELMIA WLAN (INTERNET)

Tentamen CDT102 Datakommunikation i nätverk I 7,5hp

EXAMENSARBETE. Uppbyggnad av virtuellt nätverk hos Atea Sverige AB. Robin Andersson Rahkonen Patrik Bromark Högskoleexamen Datornätverk

Att sätta upp en IPsec-förbindelse med RADIUS-autentisering (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid

EIT060 Datasäkerhet - Projekt 2. Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011

MRD Industriell 3G-Router KI00283C

Uppdatera Easy Planning till SQL

Evodev AB web epost Telefon Fax

ETSF Routingprojektet JENS ANDERSSON

Nätverksteknik A - Introduktion till VLAN

Totalt antal poäng på tentamen: 50 För att få respektive betyg krävs: U<20, 3>=20, 4>=30, 5>=40

Grundläggande datavetenskap, 4p

Beskrivning av inkoppling i Halmstads stadsnät

Installationsanvisning Boss delad databas

DIG IN TO Administration av nätverk- och serverutrustning

ANVÄNDARMANUAL ANSLUTA TILL REGION HALLAND VIA CITRIX

Cipher Suites. Rekommendationer om transportkryptering i e-tjänster

F2 Exchange EC Utbildning AB

INSTRUKTIONSTEXT FO R PLEXTALK Linio Pocket - Na tverksmapp -

Att Säkra Internet Backbone

Switch- och WAN- teknik. F6: Frame Relay och Network Security

Real-time requirements for online games

Metoder för datasäkerhet. Vad handlar en sådan kurs om???

Remote Access Services Security Architecture Notes

Säkerhetslösningar för Enterprisenät

Installation av MultiTech RF550VPN

JobOffice SQL databas på server

Konfigurera Xenta från Point

Metoder för trådlös gästaccess

Utvärdering av nätverkssäkerheten på J Bil AB

Trådlösa nätverk, 7.5 hp. Trådlösa nätverk, 7.5 hp. Olga Torstensson, IDE

Instuderingsfrågor ETS052 Datorkommuniktion

Projektrapport EDA095

INSTRUKTIONSTEXT FO R PLEXTALK Linio Pocket - Mottagare fo r poddradio -

F6 Exchange EC Utbildning AB

IT-arbetsplats med distansåtkomst

Transkript:

Högskoleexamen Sektionen för informationsvetenskap, data- och elektroteknik Projektrapport, IDE 1274, 08 2012 Nätverksprojekt, 7.5hp Nätverksprojekt Säkerhet i ett större nätverk Robin Olsson Wall

Nätverksprojekt Säkerhet i ett större nätverk Projektrapport 2012 aug Författare: Robin Olsson Wall Handledare: Olga Torstensson Examinator: Nicolina Månsson Sektionen för informationsvetenskap, data- och elektroteknik Högskolan i Halmstad Box 823, 301 18 HALMSTAD

Copyright Robin Olsson Wall(författare), 2012(år). All rights reserved Nätverksprojekt Rapport, IDE1274 Sektionen för informationsvetenskap, data- och elektroteknik Högskolan i Halmstad I

Abstrakt Datornätverk har blivit en oerhört central och viktig del av dagens samhälle. De används världen över och är något som många använder sig av i deras dagliga liv. De medför dock även en säkerhetsrisk. Utan något skydd för dessa risker kan man utsätta sitt nätverk för många olika sorters attacker, där till exempel privat företagsinformation kan läcka ut. Sådana attacker, samt andra attacker som till exempel kan leda till ett helt utslaget nätverk, kan vara förödande för de som är beroende av sitt datornätverk. På grund av de stora riskerna samt den förödande effekt dessa attacker kan ha är det väldigt viktigt att skydda sig mot dem. Denna rapport kommer att täcka arbetet med att implementera säkerhetslösningar i ett företags datornätverk i syfte att förhindra att dessa potentiellt ödesdigra situationer uppstår. II

III

Innehåll 1 Problembeskrivning... 1 1.1 Mål... 1 1.2 Avgränsning... 1 2 Säkerhetsmetoder... 3 2.1 Säkerhetspolicy... 3 2.2 Routersäkerhet... 3 2.2.1 Router... 3 2.2.2 Authentication, Authorization and Accounting (AAA)... 4 2.3 VPN... 4 2.3.1 IPsec... 5 2.3.2 Site-to-site... 5 2.3.3 Easy VPN... 5 2.4 IPS... 6 3 Resultat... 8 3.1 Säkerhetspolicy... 8 3.1.1 Allmäna säkerhetskrav... 8 3.1.2 Konfigurationskrav för routrar... 8 3.1.3 Konfigurationskrav för switchar... 9 3.1.4 Konfigurationskrav för brandvägg... 9 3.1.5 Konfigurationskrav för IPS... 9 3.1.6 VPN... 9 3.1.7 Användare... 9 3.1.8 Administratörer... 10 3.2 Topologi... 11 4 Konfiguration... 13 4.1 Router... 13 4.1.1 AAA... 13 4.2 VPN... 14 4.2.1 Site-to-site... 14 4.2.2 Easy VPN... 14 4.3 IPS... 15 4.4 Brandvägg... 17 5 Slutsats... 20 Referenser... 21 IV

V

1 Problembeskrivning Företaget ABC Company har fyra kontor på olika platser i Europa. De ligger i Stockholm, Riga, Warszawa och Malmö. Huvudkontoret är beläget i Stockholm. Alla dessa kontor ska ingå i samma nätverk där Stockholm fungerar som huvudpunkten för kommunikation mellan de olika kontoren samt för åtkomst mot internet. ABC Company behöver en säkerhetslösning för att skydda detta nätverk som sträcker sig över hela Europa och det är den delen rapporten kommer att täcka. Uppgiften är att konfigurera säkerheten för hela företagets nätverk. 1.1 Mål Målet med detta projekt är att säkra det beskrivna datornätverket i allmänhet. Det innebär att alla routrar och annan utrustning ska vara konfigurerade på ett sådant sätt att de är skyddade mot attacker och olovlig åtkomst både ut- och inifrån nätverket. För att uppnå målet så kommer det först och främst att skrivas en säkerhetspolicy. Policyns roll är att beskriva vilka säkerhetsåtgärder som ska konfigureras i nätverket och hur. Den kommer även att omfatta vad administratörer och användare har för ansvar när det gäller det beskrivna nätverket. Även kommunikationen mellan de olika kontoren ska vara skyddad mot olovlig avlyssning. Det ska även gå att ansluta sig mot nätverket på ett sådant sätt att det är möjligt att kommunicera säkert för någon som till exempel jobbar hemifrån. Även detta är beskrivet i policyn. All implementation av säkerhet kommer att ske baserat på denna policy, vilket kommer leda till en konsistent konfiguration över hela nätverket. 1.2 Avgränsning Då detta projekt från början var ett grupparbete så kommer switchkonfiguration samt den teoretiska genomgången utav brandväggar utgå, då det var min projektpartners del av projektet. 1

2

2 Säkerhetsmetoder Nedan följer en genomgång av de olika säkerhetsmetoder som har använts, eller som ligger nära besläktade med de metoder som använts. 2.1 Säkerhetspolicy För att kunna implementera en säkerhetslösning i ett nätverk behövs först en säkerhetspolicy. Syftet med policyn är att definiera de säkerhetsåtgärdet som gäller i nätverket, dvs hur utrustning och olika säkerhetsmetoder ska konfigureras. Den täcker även vad som förväntas av både nätverksadministratörer och användare av nätverket. Genom att utvecka en säkerhetspolicy så underlättas implementationen av säkerhetslösningen i nätverket markant, och det blir lättare att överskåda vilka säkerhetsåtgärder som gäller över hela, eller delar av, nätverket. Vid utvecklandet av en säkerhetspolicy och dess utformning finns det många exempel på hur man kan gå tillväga, till exempel från Cisco själva. Det finns även möjligheter att se till säkerhetspolicys som redan används i större nätverk för att få exempel på hur en policy kan struktureras [1] [2] [3]. 2.2 Routersäkerhet Det finns ett antal metoder man kan använda sig utav för att öka säkerheten på routrar och switchar. Nedan följer en genomgång av några utav dessa metoderna. 2.2.1 Router Routern är en viktig, central del utav datornätverk, och av den anledningen så är det också viktigt att säkra den. Saker som skall tänkas på är att ha säkra lösenord som inte är för korta eller för svaga. Lösenorden ska alltså vara väldigt svåra att gissa, genom att till exempel blanda stora och små bokstäver med siffror och andra tecken [4]. Det är även viktigt att kryptera alla lösenord på routern, till exempel i en situation där någon har glömt logga ut från en router och någon annan obehörig upptäcker detta. Om lösenorden då är krypterade så kan inte en obehörig läsa lösenordet i 3

klartext i konfigurationsfilen. Lösenorden är inte krypterade från början på routern [5]. För att ytterligare öka säkerheten på en router är det bra att stänga av oanvända tjänster. Detta förhindrar att potentiella säkerhetshål utnyttjas [6]. Detta är särskilt viktigt för routrar som ligger på gränsen utav nätverk, till exempel mot internet, eftersom dessa hanterar en stor mängd trafik. Genom att använda sig utav dessa metoder ovan så bidrar det till att vad som kallas för att förhårdna routern, alltså göra den starkare och säkrare mot attacker [7]. 2.2.2 Authentication, Authorization and Accounting (AAA) AAA tillåter ett systematiskt och skalbart skydd mot otillåten åtkomst, och består av tre delar. Själva förkortningen AAA består utav namnen på de tre olika delarna, vilka är Authentication, Authorization och Accounting [8]. Den första delen, Authentication, går ut på att användaren ska bevisa att de har den tillgång som krävs och att användaren försäkrar sin identitet. Det sker oftast genom att användaren ger sitt användarnamn och lösenord. Den andra delen, Authorization, definerar till exempel, i fallet med en router eller liknande, vilka kommandon som användaren är tillåten att använda. Det kan också vara definitioner på vilka nätverksresurser som användaren har tillgång till, till exempel om användaren har tillåtelse att komma åt en server eller annan resurs på nätverket. Den tredje och sista delen, Accounting, loggar användarens användande. Den loggar alltså vad de gjorde, vilka resurser de kom åt, vilka kommandon som användes, och hur länge de till exempel var i EXEC på en router eller liknande. RADIUS, vilket är en förkortning för Remote Authentication Dial In User Service, är ett protokoll som tillhandahåller AAA [9]. 2.3 VPN Virtual Private Network (VPN) är en metod att på koppla samman två skilda nätverk, eller enskilda klienter, för säker kommunikation över ett tredjepartsnätverk, till exempel internet [10]. Det gör sig möjligt eftersom VPN använder sig av avancerad kryptering och tunnelering för att skydda trafiken som sedan dekrypteras när den tas emot. 4

2.3.1 IPsec IPsec är en samling säkerhetsprotokoll och algoritmer som jobbar på nätverkslagret för att tillåta säker kommunikation genom att paket krypteras innan de skickas, vilket förhindrar att någon kommer åt trafiken och tjuvlyssnar på den medans den är på väg till destinationen. IPsec kan även garantera trafikens integritet, genom att IPsec autentiserar paketen när de tas emot, vilket leder till att den då kan se om paketet har manipulerats på något sätt. Vid mottagna paket kan den även autentisera källan av paketet, för att säkerställa att paketet kommer från en tillförlitlig källa. Genom dessa metoder så skyddas alltså trafiken och genom dessa metoder så upprättas en VPN-tunnel [11]. 2.3.2 Site-to-site Vid sammankoppling utav två skilda platser används site-to-site VPN. Med site-tosite VPN kan man enkelt utöka sitt nätverk till att bestå av flera olika, som i det här fallet, kontor på skilda platser [12]. En site-to-site tunnel kan gå över internet till exempel eftersom trafiken då skyddas av VPN-tunneln. Site-to-site VPN används flitigt i ABC Companys nätverk, eftersom de har många kontor på olika platser i europa. Genom användandet av VPN-tunnlar mellan de olika kontoren så kan, genom kontoret i Stockholm, de vara uppkopplade mot varandra på ett säkert sätt [13]. 2.3.3 Easy VPN Cisco Easy VPN, är som namnet antyder, ett simplifierat sätt att ansluta andra kontor och även anställda som behöver ha åtkomst till nätverket när de jobbar till exempel hemma eller utomlands. Cisco Easy VPN centraliserar hanteringen utav VPN-implementationerna, vilket leder till att det blir mindre komplicerat att hantera dem. Cisco Easy VPN består utav två delar. Den första delen, Cisco Easy VPN Remote, tillåter till exempel Cisco-routrar och Cisco VPN-klienter att hämta den information om VPN-tunneln som behövs på de platser som fjärransluter mot servern. Det underlättar konfigurationen på de platser 5

som fjärransluter eftersom den information som behövs hämtas av servern automatiskt. Cisco Easy VPN Server låter, till exempel, Cisco-routrar att agera som en huvudpunkt mot de fjärranslutningar som använder sig utav Cisco Easy VPN Remote. Denna funktion tillåter servern att skicka ut nödvändig information om den säkerhetspolicy som gäller över VPN-tunnlarna, för att säkerställa att de som ansluter sig använder sig utav rätt parametrar redan innan de faktiskt ansluter sig. Denna flexibilitet tillåter mobila och fjärranslutna anställda att komma åt kritisk data och andra applikationer på nätverket [14]. 2.4 IPS Intrustion Prevention System (IPS), skyddar nätverket mot många sorters attacker, maskar, virus och säkerhetshål. Ett IPS kan konfigureras via Cisco IOS på en router, eller så kan det vara ett självständigt system. Vid konfiguration av ett IPS i Cisco IOS så definerar man på vilka interfaces samt i vilken riktning som trafiken skall avlyssnas. I ett självständigt IPS så placeras den efter behov och sedan kollar den all trafik som passerar [15]. IPS fungerar på så sätt att den avlyssnar den trafik som passerar. Den letar då efter elakartad traffik och stoppar den. Vid stoppad trafik blockerar den också följande trafik av samma sort samt skickar ett varningsmeddelande till eventuell logg. 6

7

3 Resultat För att kunna konfigurera nätverket så utvecklades först en säkerhetspolicy. Sedan vid konfigurationen av nätverket så har all konfiguration baserats på att uppnå de krav som är definierade i säkerhetspolicyn. Nedan följer själva säkerhetspolicyn och en genomgång om hur de olika säkerhetsmetoderna implementerades. 3.1 Säkerhetspolicy Syftet med denna policy är att etablera säkerhetskrav och restriktioner som gäller åtkomsten av nätverken, datorsystemen och datorerna tillhörande ABC. Policyn definerar även vad som förväntas av nätverksadministratörer och annan personal. Denna policy täcker alla datorer, datorsystem och datornätverk som tillhör ABC och samtliga användare av alla de systemen och nätverken. Denna policy definerar vilka säkerhetsåtgärder som gäller och vilka regler som måste följas. Denna policy beskriver hur administratörer ska säkra samtliga routrar och switchar i nätverket. 3.1.1 Allmäna säkerhetskrav 1. Sa kerheten skall vara konfigurerad pa sa dant sa tt att den skyddar mot obeho rig a tkomst av data. Den ska ocksa skydda mot obeho rig a tkomst av datorer, datorsystem och na tverk. 2. ABCs datorer och datorsystem fa r endast anva ndas av beho riga anva ndare. A tkomst fa r endast tilla tas av beho rig administrato r. 3. Kommunikation mellan de olika kontoren fa r endast ske via de VPN-tunnlar som finns konfigurerade. 4. Fysisk a tkomst till servrar, switchar, routrar och andra viktiga na tverkskomponenter skall skyddas mot obeho rig a tkomst. 3.1.2 Konfigurationskrav för routrar 1. Konfigurera enable secret, konsoll och vty-lo senord. 2. Kryptera alla lo senord. Lo senorden bo r vara starka, dvs inneha lla en blandning av stora och sma boksta ver samt siffror. 3. RADIUS anva nds fo r anva ndarautentisering. 4. Konfigurera SSH och avaktivera Telnet. Telnet fa r inte anva ndas i na tverket. 5. Avaktivera tja nster som inte anva nds. 8

3.1.3 Konfigurationskrav för switchar 1. Konfigurera enable secret, konsoll och vty-lo senord. 2. Kryptera alla lo senord. Lo senorden bo r vara starka, dvs inneha lla en blandning av stora och sma boksta ver samt a ven siffror. 3. Inga lokala anva ndare fa r vara konfigurerade, RADIUS anva nds fo r all anva ndarautentisering. 4. Konfigurera SSH och avaktivera Telnet. Telnet fa r inte anva ndas i na tverket. 5. Avaktivera tja nster som inte anva nds. 6. Konfigurera forced trunking pa trunkportar. 7. A ndra native VLAN pa trunkingportarna till na got annat a n VLAN 1 8. Konfigurera storm-control broadcast level. 3.1.4 Konfigurationskrav för brandvägg 1. Konfigureras pa den router som a r kopplad mot internet. 2. Konfigureras fo r att endast tilla ta svar pa trafik som ha rstammar inifra n na tverket. 3. BGP, EasyVPN samt ICMP ma ste vara tilla tet genom brandva ggen fo r att na tverket ska funktionera normalt. 3.1.5 Konfigurationskrav för IPS 1. IPS konfigureras pa samtliga routrar som leder till ett annat na tverk, alltsa internet eller ett annat kontor inom fo retaget. 2. IPS konfigureras pa den port, som a r kopplad mot ett annat na tverk enligt ovansta ende definition, ina t. 3. Samtliga konfigurationer anva nder sig av signaturbaserad IPS. 3.1.6 VPN 1. Samtliga kontor som a r kopplade mot huvudkontoret ma ste vara kopplade via en VPN-tunnel. 2. Samtliga VPN-tunnlar ska konfigureras med Advanced Encryption Standard (AES). 3. Varje VPN-tunnel konfigureras med en unik nyckel. 4. Varje kontor fa r endast kommunicera med huvudkontoret genom VPNtunnlarna. 3.1.7 Användare Användare får endast logga in med sitt egna användarkonto. Det innebär att det inte är tillåtet att dela ut sitt användarnamn och lösenord till någon annan. Användare har ansvar att inte installera någon hård- eller mjukvara på arbetsplatsen utan specifikt tillstånd. Detta är särskilt viktigt när det kommer till 9

trådlösa komponenter som potentiellt skulle kunna vara ett säkerhetshål som kan leda till att en obehörig användare kopplar upp sig mot komponenten och får tillgång till nätverket och dess resurser. 3.1.8 Administratörer De lokala nätverksadministratörerna ansvarar för implementering av policyn och upprätthållning av den på sitt lokala kontor. Nätverksadministratörer har tillgång till samtliga routrar, switchar och övriga datorsystem i deras lokala kontor och ansvarar för nätverken genom konfiguration av samtliga routrar och switchar i nätverket och uppsyn på trafik och övrig data. Vid eventuellt intrång bör nätverksadministratören se till att stoppa attacken till sin bästa förmåga och sedan rapportera detta till den lokala huvudadministratören, i syfte att hindra att fler sådana attacker sker. Vid en attack som visar sig bortom administratörens förmåga att hindra ska den rapporteras till den lokala huvudadministratören snarast. 10

3.2 Topologi Bild 1-1 Nätverkstopologin Bild 1-1 ovan visar den topologi som använts i projektet. Denna topologi användes vid den fysiska implementationen och konfigurationen. På bild syns de fyra olika kontoren runt om i europa och även ISP:n som är ansluten till kontoret i stockholm. 11

12

4 Konfiguration 4.1 Router Först och främst konfigurerades en lokal användare på routern. Det nödvändigt att ha om RADIUS-servern inte är tillgänglig av någon anledning, så att det ändå finns en möjlighet att komma åt routern. Ett enable password konfigurerades, med kommandot enable secret. Ett enable-lösenord fungerar som ett ytterligare säkerhetslager om någon skulle lyckas komma åt routern. Om denna person då inte kan lösenordet kan de inte komma åt EXEC, och alltså inte utföra några ändringar på routerns konfiguration. Kommandot service password-encryption används för att säkerställa att det inte finns några okrypterade lösenord i konfigurationsfilen. Om någon skulle komma åt konfigurationsfilen så kan de då alltså inte se några lösenord eftersom de är krypterade. För att uppnå starkare lösenord så sattes en minimilängd på samtliga lösenord med kommandot security passwords min-length. Längre lösenord är som sagt starkare och svårare att gissa. En banner konfigurerades med meddelandet Unauthorized access strictly prohibited and prosecuted to the full extent of the law, som visas vid login-prompten när man först ansluter sig till routern. Det här meddelandet låter den som loggar in veta att det är otillåtet med obehörig åtkomst. Eftersom Telnet inte är säkert så användes istället SSH version 2. För att inte tillåta åtkomst via Telnet användes kommandot transport input ssh under line vty 0 4. För att stärka routern ytterligare så stängdes några oanvända tjänster av, till exempel Cisco Discovery Protocol, PAD Service med flera. Även IP Redirects, IP Unreachables och IP Proxy Arp blev avaktiverade på varje interface. 4.1.1 AAA AAA tillhandahållet av RADIUS används i nätverket. Det används vid åtkomst till switchar och routrar. Det finns en RADIUS-server i nätverket som ligger i Stockholm. Om servern skulle bli otillgänglig av någon anledning så finns det även en lokal användare konfigurerad, så att det ändå finns en möjlighet att komma åt routern och switchen i nödfall. 13

AAA konfigurerades med IP-addressen till RADIUS-servern samt nyckeln som krävs med kommandot radius-server host 192.168.15.2 auth-port 1812 acct-port 1813 key radiuskey. I detta fallet valdes en simpel nyckel för att underlätta vid konfigurering, i ett äkta nätverk hade en mycket starkare nyckel använts. 4.2 VPN 4.2.1 Site-to-site I nätverket så har flera site-to-site förbindelser konfigurerats. Från stockholm går det två tunnlar till vardera kontor. Varje tunnel har konfigurerats med en separat nyckel. För autentisering mellan tunnlarna används ISAKMP, konfigurerad med AES-kryptering samt pre-shared nycklar. Kommandon som användes under crypto isakmp policy 1 för kryptering var encryption aes 256. För att definiera typen av autentisering användes authentication pre-share. Vid den ursprunliga konfigurationen av nätverket hindrades konfigurationen utav VPN-tunnlarna av det faktum att de layer 3-switchar som användes inte hade de stöd som behövdes för att konfigurera tunnlarna. Lösningen på detta problem var att ändra nätverksdesignen genom att ersätta samtliga layer 3-switchar med routrar. Bild 2-1 nedan visar hur det såg ut vid användning av kommandot show crypto isakmp sa på routern i stockholm som är kopplad mot samtliga kontor. Bild 2-1 Site-to-site show kommando 4.2.2 Easy VPN I detta nätverk används Easy VPN för fjärranslutningar av mobila användare. Via användning utav konfigurationsprogrammet Cisco Configuration Professional upprättade vi en server på routen i Stockholm, som är precis i utkanten av nätverket och är ansluten direkt till internet. För autentisering användes inte RADIUS utan lokal autentisering. Alltså blev de användarkonton som används när användare ska autentisera sig konfigurerade lokalt på routern. 14

Bild 3-1 nedan visar en funktion i Cisco Configuration Professional som automatiskt letar efter några fel med EasyVPN-servern. Bilden visar att inga fel hittades. Bild 3-1 VPN-felsökning För att EasyVPN ska fungera för användare som ansluter sig utifrån nätverket behöver det tillåtas genom brandväggen. Mer om det följer nedan. 4.3 IPS IPS implementerades i första hand på routern i Stockholm. IPS blev konfigurerat på ett sådant sätt, på de två seriella interfacen som pekar mot internet på routern, att den avlyssnar all trafik som är ingående på de interfacen. Även trafik som går in i routern från det interna nätverket, alltså från någon utav de andra kontoren, avlyssnas utav IPS, då det finns chans för attacker inifrån. Av samma anledning konfigureras IPS på varje enskilt kontor på ett sådant sätt att den kollar all trafik in både från andra kontor och inifrån det egna kontoret. IPS konfigurerades på utkanten av kontoret på den router som går mot Stockholm. Bild 4-1 nedan visar en så kallad intense scan som genomfördes mot 192.168.15.1, alltså routern i stockholm som är kopplad mot alla andra kontor. Syftet är att testa om IPS säger ifrån. 15

Bild 4-1 Zenmap intense scan Bild 4-2 nedan visar ett utdrag från syslog som visar de meddelanden som uppstod i syslog när IPS hindrade scannen från Zenmap. Bild 4-2 Syslog utdrag 16

4.4 Brandvägg Brandväggen konfigurerades med hjälp utav Cisco Configuration Professional. Bild 5-1 nedan visar hur ett steg utav konfigurationen såg ut i programmet. Bild 5-1 Brandväggskonfiguration Bild 5-1 visar hur det ser ut när man i programmet väljer om de olika interfacen pekar utåt i nätverket, till exempel mot internet, eller om det pekar inåt nätverket. Det var viktigt att tänka på att tillåta all nödvändig trafik så att inte trafik som krävs för att nätverket ska operera normalt blockerades. En sådan nödvändig del var BGP. BGP används för att trafik ska kunna routas ut mot internet och är då en väldigt viktig del utav nätverket. Bild 5-2 nedan visar att BGP blev tillåtet genom brandväggen. 17

Bild 5-2 Fortsatt brandväggskonfiguration Bilden visar också hur icmp är tillåtet genom brandväggen eftersom även det var nödvändigt för en annan grupp som jobbade på projektet. EasyVPN blev också tillåtet genom brandväggen, så att mobila arbetare ska kunna ansluta sig till nätverket genom EasyVPN när de är utanför nätverket. 18

19

5 Slutsats Genom att genomföra implementationen baserad på säkerhetspolicyn så har nätverket säkrats. För att skydda mot attacker i allmänhet så har samtliga routrar förstärkts genom att stänga av oanvända tjänster samt genom ett användande av starka, krypterade lösenord och en centraliserad autentisering. Även brandväggen som implementerades på routern som är kopplad mot internet skyddar nätverket. Den hindrar all trafik förutom den kommunikation som har inletts inom nätverket, undantagen är att den släpper igenom de saker som är nödvändiga för nätverket som BGP och EasyVPN. För att ytterligare skydda nätverket, inte bara utifrån utan även inifrån, så implementerades IPS inte bara på den routern som är kopplad mot internet utan även på de andra routrarna i nätverket. Eftersom all kommunikation mellan kontoren sker via VPN-tunnlar så skyddas den mot inte bara olovlig avlyssning utan även att någon modifierar paketen när de är på väg mot sin destination. Även om någon som jobbar till exempel hemifrån inte är ansluten till nätverket direkt, finns det en möjlighet att ansluta sig via EasyVPN. Då kan de som jobbar utanför nätverket ändå komma åt nätverket på ett säkert sätt. Genom användandet av ovanstående säkerhetsmetoder så har målen uppnåtts. Det som ledde till problem i detta projekt var att den fysiska konfigurationen påbörjades alldeles för sent. All konfiguration var utplanerad teoretiskt och när det väl kom till att implementera den så blev det en del krångel, vilket man alltid bör räkna med. I lite samma anda som implementationen påbörjades sent, så skedde den även avskilt från de andra grupperna, vilket ledde till att när allas konfigurationer skulle slutligen implementeras tillsammans så användes utrustning i nätverket som inte var kompatibel med de säkerhetslösningar som var tänkta. Lärdomen som har tagits utav detta är att vara ute i god tid och tidigt etablera ett samarbete med eventuella andra grupper så att liknande situationer inte uppstår. 20

Referenser [1] Cisco, October 2006 [Online] Available: http://www.cisco.com/en/us/tech/tk869/tk769/technologies_white_paper09186a 008014f945.shtml [Retrieved: 11 sep 2012] [2] Temple University, November 2003 [Online] Available: http://www.temple.edu/oll/images/url.pdf [Retrieved: 11 sep 2012] [3] University of North Carolina at Greensboro, May 2010 [Online] Available: http://policy.uncg.edu/network_security/ [Retrieved: 11 sep 2012] [4] Implementing Secure Converged Wide Area Networks Volume 2: Cisco Systems Inc; 2006 sid. 5-87 [5] Implementing Secure Converged Wide Area Networks Volume 2: Cisco Systems Inc; 2006 sid. 5-94 [6] Implementing Secure Converged Wide Area Networks Volume 2: Cisco Systems Inc; 2006 sid. 5-51 [7] Anthony Sequeira, Cisco Press, September 2011 [Online] Available: http://www.ciscopress.com/articles/article.asp?p=1750219 [Retrieved: 10 may 2012] [8] Implementing Secure Converged Wide Area Networks Volume 2: Cisco Systems Inc; 2006 sid. 5-210 [9] Implementing Secure Converged Wide Area Networks Volume 2: Cisco Systems Inc; 2006 sid. 5-214 [10] Implementing Secure Converged Wide Area Networks Volume 1: Cisco Systems Inc; 2006 sid. 4-1 [11] Implementing Secure Converged Wide Area Networks Volume 1: Cisco Systems Inc; 2006 sid. 4-6 [12] Cisco [Online] Available: http://www.cisco.com/en/us/products/ps5743/products_sub_category_home.ht ml [Retrieved: 10 may 2012] [13] Implementing Secure Converged Wide Area Networks Volume 1: Cisco Systems Inc; 2006 sid. 4-50 [14] Implementing Secure Converged Wide Area Networks Volume 1: Cisco Systems Inc; 2006 sid. 4-146 [15] Implementing Secure Converged Wide Area Networks Volume 2: Cisco Systems Inc; 2006 sid. 6-79 21

Bilagor Allmän routersäkerhet, samtliga routrar: enable secret cisco2 username admin secret cisco2 privilege 15 service password-encryption security passwords min-length 6 login block-for 60 attempts 3 within 30 login on-success log login on-failure log every 3 ntp server 193.168.1.1 ntp update-calendar banner motd $Unauthorized access strictly prohibited and prosecuted to the full extent of the law$ ip domain-name cisco.com crypto key generate rsa ip ssh version 2 aaa new-model aaa authentication login default group radius local aaa authentication login AAA group radius radius-server host 192.168.15.2 auth-port 1812 acct-port 1813 key radiuskey line vty 0 4 transport input ssh aaa authentication login AAA group radius local line vty 5 15 transport input none line console 0 aaa authentication login AAA group radius local line aux 0 aaa authentication login AAA group radius local no service pad no ip bootp server no ip source-route service sequence-numbers service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime show-timezone 1

ip http access-class 1 ip tcp synwait-time 10 no cdp run security authentication failure rate 3 log ip ssh time-out 60 ip ssh authentication-retries 2 logging console critical logging trap debugging logging buffered 51200 informational logging 192.168.15.2 interface Serial0/1/0 no ip proxy-arp no ip redirects no ip unreachables ip route-cache flow exit interface Serial0/1/1 no ip proxy-arp no ip redirects no ip unreachables ip route-cache flow exit interface FastEthernet0/0 no ip proxy-arp no ip redirects no ip unreachables ip route-cache flow no mop enabled exit interface FastEthernet0/1 no ip proxy-arp no ip redirects no ip unreachables ip route-cache flow no mop enabled exit EasyVPN, Stockholm: interface Virtual-Template1 type tunnel ip unnumbered Loopback2 tunnel mode ipsec ipv4 tunnel protection ipsec profile CiscoCP_Profile1 aaa authentication login ciscocp_vpn_xauth_ml_1 local aaa authorization network ciscocp_vpn_group_ml_1 local username easyvpnuser privilege 1 secret 0 cisco2 username easyvpnadmin privilege 15 secret 0 cisco2 2

ip local pool SDM_POOL_1 192.168.50.1 192.168.50.10 crypto isakmp client configuration group easyvpngroup key easyvpnkey pool SDM_POOL_1 max-users 10 netmask 255.255.255.0 crypto isakmp profile ciscocp-ike-profile-1 match identity group easyvpngroup client authentication list ciscocp_vpn_xauth_ml_1 isakmp authorization list ciscocp_vpn_group_ml_1 client configuration address respond virtual-template 1 Brandvägg, stockholm: access-list 100 permit ip 193.168.1.0 0.0.0.255 193.168.1.0 0.0.0.255 access-list 101 remark CCP_ACL Category=1 access-list 101 permit udp any host 192.168.15.1 eq non500-isakmp access-list 101 permit udp any host 192.168.15.1 eq isakmp access-list 101 permit esp any host 192.168.15.1 access-list 101 permit ahp any host 192.168.15.1 access-list 101 permit tcp host 223.130.40.21 any access-list 101 deny ip host 1.1.1.1 any access-list 101 deny ip 223.130.40.20 0.0.0.3 any access-list 101 deny ip 193.168.1.0 0.0.0.255 any access-list 101 deny ip 223.130.41.20 0.0.0.3 any access-list 101 deny ip host 255.255.255.255 any access-list 101 deny ip 127.0.0.0 0.255.255.255 any access-list 101 permit ip any any access-list 102 remark CCP_ACL Category=1 access-list 102 permit udp any host 193.168.1.1 eq non500-isakmp access-list 102 permit udp any host 193.168.1.1 eq isakmp access-list 102 permit esp any host 193.168.1.1 access-list 102 permit ahp any host 193.168.1.1 access-list 102 deny ip host 1.1.1.1 any access-list 102 deny ip 223.130.40.20 0.0.0.3 any access-list 102 deny ip 223.130.41.20 0.0.0.3 any access-list 102 deny ip 192.168.15.0 0.0.0.3 any access-list 102 deny ip host 255.255.255.255 any access-list 102 deny ip 127.0.0.0 0.255.255.255 any access-list 102 permit ip any any access-list 103 remark CCP_ACL Category=1 access-list 103 deny ip 223.130.40.20 0.0.0.3 any access-list 103 deny ip 193.168.1.0 0.0.0.255 any access-list 103 deny ip 223.130.41.20 0.0.0.3 any access-list 103 deny ip 192.168.15.0 0.0.0.3 any access-list 103 deny ip host 255.255.255.255 any access-list 103 deny ip 127.0.0.0 0.255.255.255 any 3

access-list 103 permit ip any any access-list 104 remark CCP_ACL Category=1 access-list 104 permit udp any host 223.130.41.22 eq non500-isakmp access-list 104 permit udp any host 223.130.41.22 eq isakmp access-list 104 permit esp any host 223.130.41.22 access-list 104 permit ahp any host 223.130.41.22 access-list 104 permit tcp host 223.130.41.21 any access-list 104 permit icmp any any access-list 104 deny ip host 1.1.1.1 any access-list 104 deny ip 223.130.40.20 0.0.0.3 any access-list 104 deny ip 193.168.1.0 0.0.0.255 any access-list 104 deny ip 192.168.15.0 0.0.0.3 any access-list 104 permit icmp any host 223.130.41.22 echo-reply access-list 104 permit icmp any host 223.130.41.22 time-exceeded access-list 104 permit icmp any host 223.130.41.22 unreachable access-list 104 deny ip 10.0.0.0 0.255.255.255 any access-list 104 deny ip 172.16.0.0 0.15.255.255 any access-list 104 deny ip 192.168.0.0 0.0.255.255 any access-list 104 deny ip 127.0.0.0 0.255.255.255 any access-list 104 deny ip host 255.255.255.255 any access-list 104 deny ip host 0.0.0.0 any access-list 104 deny ip any any log access-list 105 remark CCP_ACL Category=1 access-list 105 permit udp any host 223.130.40.22 eq non500-isakmp access-list 105 permit udp any host 223.130.40.22 eq isakmp access-list 105 permit esp any host 223.130.40.22 access-list 105 permit ahp any host 223.130.40.22 access-list 105 permit tcp host 223.130.40.21 any access-list 105 permit icmp any any access-list 105 deny ip host 1.1.1.1 any access-list 105 deny ip 193.168.1.0 0.0.0.255 any access-list 105 deny ip 223.130.41.20 0.0.0.3 any access-list 105 deny ip 192.168.15.0 0.0.0.3 any access-list 105 permit icmp any host 223.130.40.22 echo-reply access-list 105 permit icmp any host 223.130.40.22 time-exceeded access-list 105 permit icmp any host 223.130.40.22 unreachable access-list 105 deny ip 10.0.0.0 0.255.255.255 any access-list 105 deny ip 172.16.0.0 0.15.255.255 any access-list 105 deny ip 192.168.0.0 0.0.255.255 any access-list 105 deny ip 127.0.0.0 0.255.255.255 any access-list 105 deny ip host 255.255.255.255 any access-list 105 deny ip host 0.0.0.0 any access-list 105 deny ip any any log IPS-konfiguration, samtliga routrar: ip ips name iosips ip ips notify sdee ip ips notify log 4

int fa0/0 ip ips iosips in int fa0/1 ip ips iosips in Site-to-site VPN, stockholm: crypto isakmp enable crypto isakmp policy 10 encryption aes 256 authentication pre-share group 5 lifetime 3600 crypto isakmp key warszawakey address 193.168.1.2 crypto isakmp key malmokey address 193.168.1.3 crypto isakmp key rigakey address 193.168.1.4 crypto ipsec transform-set MYTRANS esp-aes 256 esp-sha-hmac crypto map MYMAP 1 ipsec-isakmp set peer 193.168.1.2 set peer 193.168.1.3 set peer 193.168.1.4 set transform-set MYTRANS match address AAA ip access-list extended AAA permit ip 193.168.0.0 0.0.255.255 193.168.0.0 0.0.255.255 interface fa1/0 crypto map MYMAP Site-to-site VPN, Warszawa: crypto isakmp enable crypto isakmp policy 10 encryption aes 256 authentication pre-share group 5 lifetime 3600 crypto isakmp key warszawakey address 193.168.1.1 crypto ipsec transform-set MYTRANS esp-aes 256 esp-sha-hmac crypto map MYMAP 1 ipsec-isakmp set peer 193.168.1.1 set transform-set MYTRANS match address AAA 5

ip access-list extended AAA permit ip 193.168.0.0 0.0.255.255 193.168.0.0 0.0.255.255 interface fa0/0 crypto map MYMAP Site-to-site VPN, Malmö: crypto isakmp enable crypto isakmp policy 10 encryption aes 256 authentication pre-share group 5 lifetime 3600 crypto isakmp key malmokey address 193.168.1.1 crypto ipsec transform-set MYTRANS esp-aes 256 esp-sha-hmac crypto map MYMAP 1 ipsec-isakmp set peer 193.168.1.1 set transform-set MYTRANS match address AAA ip access-list extended AAA permit ip 193.168.0.0 0.0.255.255 193.168.0.0 0.0.255.255 interface fa0/0 crypto map MYMAP Site-to-site VPN, Riga: crypto isakmp enable crypto isakmp policy 10 encryption aes 256 authentication pre-share group 5 lifetime 3600 crypto isakmp key rigakey address 193.168.1.1 crypto ipsec transform-set MYTRANS esp-aes 256 esp-sha-hmac crypto map MYMAP 1 ipsec-isakmp set peer 193.168.1.1 set transform-set MYTRANS match address AAA ip access-list extended AAA permit ip 193.168.0.0 0.0.255.255 193.168.0.0 0.0.255.255 interface fa0/0 crypto map MYMAP 6

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss